Unterstützte IPSec-Parameter
In diesem Thema werden die unterstützten Konfigurationsparameter der Phase 1 (ISAKMP) und Phase 2 (IPsec) für Site-to-Site-VPN aufgeführt. Diese Werte wurden von Oracle gewählt, um die Sicherheit zu maximieren und eine Vielzahl von CPE-Geräten abzudecken. Wenn Ihr CPE-Gerät nicht in der Liste der geprüften Geräte enthalten ist, konfigurieren Sie Ihr Gerät anhand der hier angegebenen Informationen.
Sie können mit dem CPE-Konfigurations-Helper auch Informationen erfassen, die ein Netzwerktechniker bei der Konfiguration des CPE-Geräts verwendet.
Oracle verwendet asymmetrisches Routing über mehrere Tunnel, aus denen die IPsec-Verbindung besteht. Selbst wenn Sie einen Tunnel als primären und einen anderen als Backuptunnel konfigurieren, kann der Traffic vom VCN zum On-Premise-Netzwerk jeden Tunnel, der auf Ihrem Gerät "hochgefahren" ist, verwenden. Konfigurieren Sie Ihre Firewalls entsprechend. Andernfalls können Ping-Tests oder der Anwendungstraffic über die Verbindung hinweg nicht zuverlässig ausgeführt werden.
Unterstützte Verschlüsselungsdomain oder Proxy-ID
Die Werte für die Verschlüsselungsdomain (auch als Proxy-ID, Sicherheitsparameterindex (SPI) oder Trafficselektor bezeichnet) hängen davon ab, ob Ihr CPE routenbasierte oder policy-basierte Tunnel unterstützt. Weitere Informationen zu den richtigen Werten der Verschlüsselungsdomain finden Sie unter Unterstützte Verschlüsselungsdomain oder Proxy-ID.
Benutzerdefinierte IKE- und IPsec-Parameter
Wenn Sie benutzerdefinierte Internet Key Exchange-(IKE-) oder IPsec-Parameter verwenden und benutzerdefinierte Proposals der Phase 1 auswählen, muss das CPE so konfiguriert sein, dass es den genauen Vorschlag akzeptiert. Eine Unstimmigkeit verhindert, dass IKE die IPsec-Tunnel-Sicherheitsverknüpfung für Phase 1 einrichtet.
Bei benutzerdefinierten IPsec-Proposals der Phase 2 ist folgendes Verhalten zu erwarten:
- Wenn Oracle eine neue IPsec-Sicherheitsverknüpfung der Phase 2 initiiert, enthält das IKE-Proposal nur die benutzerdefinierten Werte.
- Wenn das CPE eine neue IPsec-Sicherheitsverknüpfung der Phase 2 initiiert, wird die Sicherheitsverknüpfung der Phase 2 erstellt, solange Oracle die Parameter unterstützt.
Oracle IKE-Initiierung und IP-Fragmente
Das Standardset von Oracle IKE-Parameter-Proposals ist zu groß für ein einzelnes UDP-Paket. Daher wird die Initiierungsanforderung von der Oracle-Seite der IPsec-Verbindung fragmentiert. Um eine neue IKE-Sicherheitsverknüpfung erfolgreich zu initiieren, muss jede Firewall oder Sicherheitsliste zwischen der öffentlichen IP-Adresse des Oracle-VPN und dem CPE IP-Fragmente zulassen.
Unterstützte Parameter für die Commercial Cloud
In diesem Abschnitt werden die unterstützten Parameter aufgelistet, wenn Site-to-Site-VPN für die Commercial Cloud eingerichtet wird. Eine Liste der Commercial Cloud-Regionen finden Sie unter Regionen und Availability-Domains.
Bei einigen Parametern unterstützt Oracle mehrere Werte. Der empfohlene Wert ist angegeben.
Oracle unterstützt die folgenden Parameter für IKEv1 oder IKEv2. Hinweise zu den Parametern, die von Ihrem CPE für IKEv1 oder IKEv2 unterstützt werden, finden Sie in der entsprechenden Dokumentation.
Phase 1 (ISAKMP)
| Parameter | Optionen |
|---|---|
| ISAKMP-Protokoll |
Version 1 |
| Austauschart |
Hauptmodus |
| Authentifizierungsmethode |
Pre-Shared Keys * |
| Verschlüsselungsalgorithmus |
AES-256-CBC (empfohlen) AES-192-CBC AES-128-CBC |
| Authentifizierungsalgorithmus |
SHA-2 384 (empfohlen) SHA-2 256 SHA-1 (auch als SHA oder SHA1-96 bezeichnet)** |
| Diffie-Hellman-Gruppe |
Gruppe 2 (MODP 1024-Bit) Gruppe 5 (MODP 1536-Bit) Gruppe 14 (MODP 2048-Bit) Gruppe 19 (ECP 256-Bit zufällig) Gruppe 20 (ECP 384-Bit zufällig) (empfohlen) |
| Gültigkeitsdauer des IKE-Sessionschlüssels |
28800 Sekunden (8 Stunden) |
|
* In Pre-Shared Keys sind nur Zahlen, Buchstaben und Leerzeichen zulässig. ** Oracle rät dringend von der Verwendung von SHA-1 ab. Die Verwendung von SHA-1 wurde 2011 von NIST offiziell als veraltet eingestuft, und die Verwendung für digitale Signaturen wurde 2013 für unzulässig erklärt. |
|
Phase 2 (IPSec)
| Parameter | Optionen |
|---|---|
| IPSec-Protokoll |
ESP, Tunnelmodus |
| Verschlüsselungsalgorithmus |
AES-256-GCM (empfohlen) AES-192-GCM AES-128-GCM AES-256-CBC AES-192-CBC AES-128-CBC |
| Authentifizierungsalgorithmus |
Wenn GCM verwendet wird, ist kein Authentifizierungsalgorithmus erforderlich, weil die Authentifizierung in der GCM-Verschlüsselung enthalten ist. Wenn Sie GCM nicht verwenden, werden die folgenden Optionen unterstützt: HMAC-SHA-256-128 (empfohlen) HMAC-SHA1-128* |
| Gültigkeitsdauer des IPSec-Sessionschlüssels |
3600 Sekunden (1 Stunde) |
| Perfect Forward Secrecy (PFS) |
Aktiviert, Gruppe 5 (Standard, empfohlen) Unterstützt Einstellungen "Deaktiviert" und "Aktiviert" für Gruppe 2, 5, 14, 19, 20, 24. |
|
* Oracle rät dringend von der Verwendung von SHA-1 ab. Die Verwendung von SHA-1 wurde 2011 von NIST offiziell als veraltet eingestuft, und die Verwendung für digitale Signaturen wurde 2013 für unzulässig erklärt. |
|
Unterstützte Parameter für die Government Cloud
In diesem Abschnitt werden die unterstützten Parameter aufgelistet, wenn Ihr Site-to-Site-VPN für die Government Cloud eingerichtet wird. Weitere Informationen finden Sie unter Für alle US Government Cloud-Kunden.
Bei einigen Parametern unterstützt Oracle mehrere Werte. Der empfohlene Wert ist fett hervorgehoben.
Oracle unterstützt die folgenden Parameter für IKEv1 oder IKEv2. Hinweise zu den Parametern, die von Ihrem CPE für IKEv1 oder IKEv2 unterstützt werden, finden Sie in der entsprechenden Dokumentation.
Phase 1 (ISAKMP)
| Parameter | Optionen |
|---|---|
| ISAKMP-Protokoll |
Version 1 |
| Austauschart |
Hauptmodus |
| Authentifizierungsmethode |
Pre-Shared Keys * |
| Verschlüsselungsalgorithmus |
AES-256-CBC (empfohlen) AES-192-CBC AES-128-CBC |
| Authentifizierungsalgorithmus |
SHA-2 384 (empfohlen) SHA-2 256 SHA-1(auch als SHA oder SHA1-96 bezeichnet) |
| Diffie-Hellman-Gruppe |
Gruppe 14 (MODP 2048) Gruppe 19 (ECP 256) Gruppe 20 (ECP 384) (empfohlen) |
| Gültigkeitsdauer des IKE-Sessionschlüssels |
28800 Sekunden (8 Stunden) |
|
* In Pre-Shared Keys sind nur Zahlen, Buchstaben und Leerzeichen zulässig. |
|
Phase 2 (IPSec)
| Parameter | Optionen |
|---|---|
| IPSec-Protokoll |
ESP, Tunnelmodus |
| Verschlüsselungsalgorithmus |
AES-256-GCM (empfohlen) AES-192-GCM AES-128-GCM AES-256-CBC AES-192-CBC AES-128-CBC |
| Authentifizierungsalgorithmus |
Bei Verwendung von GCM (Galois/Counter Mode) ist kein Authentifizierungsalgorithmus erforderlich, da die Authentifizierung in der GCM-Verschlüsselung enthalten ist. Verwenden Sie HMAC-SHA-256-128, wenn GCM nicht verwendet wird. |
| Gültigkeitsdauer des IPSec-Sessionschlüssels |
3600 Sekunden (1 Stunde) |
| Perfect Forward Secrecy (PFS) |
Aktiviert, Gruppe 14 (Standard, empfohlen) Unterstützt Einstellungen "Deaktiviert" und "Aktiviert" für Gruppe 2, 5, 14, 19, 20, 24. |
Referenzmaterial
Wenn Sie noch nicht mit den oben genannten Parametern vertraut sind, finden Sie Links zu relevanten Standards in den folgenden Tabellen.
| Option | Relevanter Standard |
|---|---|
| Advanced Encryption Standard (AES) | FIPS PUB 197-Standard |
| Cipher Block Chaining (CBC) | SP 800-38A-Standard |
| Secure Hash Algorithm (SHA) | FIPS PUB 180-4-Standard |
| Diffie-Hellman-(DH-)Gruppen |
RFC 2631: Diffie-Hellman Key Agreement Method RFC 3526: More Modular Exponential (MODP) Diffie-Hellman groups for Internet Key Exchange (IKE) RFC 4306: Internet Key Exchange (IKEv2) Protocol |
| DH-Gruppentyp: Modular Exponential (MODP) oder Elliptic Curve Prime (ECP) |
MODP RFC 3526: More Modular Exponential (MODP) Diffie-Hellman groups for Internet Key Exchange (IKE) ECP RFC 5114: Additional Diffie-Hellman Groups for Use with IETF Standards |
| Galois Counter Mode (GCM) | RFC 5288: AES Galois Counter Mode (GCM) Cipher Suites for TLS |
| Perfect Forward Secrecy (PFS) | RFC 2412: The OAKLEY Key Determination Protocol |